L'intensité de l'attaque du ransomware WannaCrypt s'est dissipée mais la peur plane toujours. À ce titre, de nombreuses organisations ont publié un avis en réponse à cette menace. Ils pensent que cela aidera les organisations à gérer une infrastructure sécurisée pour leurs clients et à protéger leur organisation de telles attaques à l'avenir. Microsoft suggère également à ses clients de faire preuve de prudence et de suivre les 8 étapes décrites dans Microsoft Azure article de blog pour rester protégé contre l'attaque de ransomware, WannaCrypt.
L'avis s'adresse aux utilisateurs qui tardent à réagir ou qui sont complaisants en matière de sécurité. Microsoft estime que tous les clients Azure doivent suivre ces 8 étapes en tant que stratégie de précaution et d'atténuation.
Mesures prises par les clients Azure pour se protéger des menaces WannaCrypt Ransomware
Les conclusions préliminaires révèlent que les logiciels malveillants WannaCrypt exploitent une vulnérabilité de type Service Message Block (SMB) (CVE-2017-0145) détectée dans le système d'exploitation des ordinateurs. En tant que tels, les clients devraient installer MS17-010 tout de suite pour résoudre cette vulnérabilité.
Deuxièmement, pour prévenir tout événement de malheur, examiner tous les abonnements Azure ayant des points de terminaison SMB exposés Internet, généralement associé aux ports TCP 139, TCP 445, UDP 137, UDP 138. Microsoft met en garde contre l'ouverture de ports Internet non essentiels à vos opérations. Pour désactiver le protocole SMBv1, exécutez les commandes suivantes:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Exploitez la capacité d’Azure Security Center pour vérifier que les logiciels anti-malware et autres contrôles de sécurité critiques sont correctement configuré pour toutes vos machines virtuelles Azure et sont en état de marche. Pour afficher l’état de sécurité de vos ressources, accédez à la "vignette Prévention visible dans l’écran" Présentation "d’Azure Security Center.
Ensuite, vous pouvez consulter la liste de ces problèmes dans le Recommandations tuile comme indiqué dans la capture d'écran ci-dessous.
La meilleure stratégie pour rester protégé contre toute menace indésirable est de: mettre à jour régulièrement votre machine. Les utilisateurs Windows peuvent accéder à Windows Update pour rechercher toute nouvelle mise à jour de sécurité disponible et l'installer instantanément afin de maintenir leurs machines à jour. Pour les utilisateurs exécutant Azure Cloud Services, les mises à jour automatiques étant activées par défaut, aucune action n'est requise de leur part. En outre, toutes les versions du système d'exploitation invité publiées le 14 mars 2017 et les versions ultérieures comportent la mise à jour MS17-010. La mise à jour corrige toute vulnérabilité trouvée dans le serveur SMB (cible principale de WannaCrypt ransomware).
Si nécessaire, vous pouvez consulter le statut de mise à jour de vos ressources de manière continue via Azure Security Center. Le centre surveille en permanence votre environnement pour détecter les menaces. Il combine les connaissances et l'expertise mondiales en matière de menaces de Microsoft avec des informations sur les événements liés à la sécurité du cloud dans vos déploiements Azure, garantissant ainsi la sécurité de toutes vos ressources Azure. Vous pouvez également utiliser le centre pour collecter et surveiller les journaux des événements et le trafic réseau afin de rechercher des attaques potentielles.
Les groupes de sécurité réseau a.k.a. en tant que groupes de sécurité réseau contiennent une liste de Liste de contrôle d'accès (ACL) des règles qui autorisent ou refusent le trafic réseau vers vos instances de VM dans un réseau virtuel. Donc, vous pouvez utiliser Groupes de sécurité réseau (NSGs) pour restreindre l’accès au réseau. Ceci, à son tour, peut vous aider à réduire l'exposition aux attaques et à configurer les NSG avec des règles entrantes limitant l'accès aux seuls ports requis. En plus du centre de sécurité Azure, vous pouvez utiliser les pare-feu de réseaux de sociétés de sécurité réputées pour fournir une couche de sécurité supplémentaire.
Si un autre logiciel anti-programme malveillant est installé, vérifiez qu'il est correctement déployé et mis à jour régulièrement. Pour les utilisateurs de Windows Defender, Microsoft a publié une mise à jour la semaine dernière qui détecte cette menace Ransom: Win32 / WannaCrypt. Les autres utilisateurs de logiciels anti-programmes malveillants doivent s’assurer, auprès de leur fournisseur, d’une sécurité 24h / 24.
Enfin, c’est souvent une résilience remarquable qui témoigne de la volonté de se remettre de conditions défavorables, telles que le processus de récupération de tout compromis. Cela peut être renforcé en ayant un solution de sauvegarde solide en place. Il est donc essentiel de configurer les sauvegardes avec une authentification multifacteur. Heureusement, si vous utilisez Sauvegarde Azure, vous pouvez récupérer des données lorsque vos serveurs sont attaqués par un ransomware. Toutefois, seuls les utilisateurs avec des informations d'identification Azure valides peuvent accéder aux sauvegardes stockées dans Azure. Activer Authentification multi-facteurs Azure pour fournir une couche de sécurité supplémentaire à vos sauvegardes dans Azure!
Il semble Microsoft se soucie beaucoup de la sécurité des données de ses clients. Par conséquent, avant cela, la société avait également publié des conseils à l’intention des utilisateurs de son système d’exploitation Windows XP après que plusieurs de ses clients avaient été victimes de l’attaque logicielle mondiale WannaCrypt.
